Schwachstellenmanagement durch CVD
Coordinated Vulnerability Disclosure: Unterstützung bei Prozessen
Nahezu jede Software, jedes IT-System hat Schwachstellen und Sicherheitslücken, die irgendwann bekannt werden. Viele Unternehmen können aber immer noch nicht mit Meldungen solcher Schwachstellen umgehen. An Beispielen wie den log4j-Lücken oder Heartbleed mit Millionen betroffener Systeme ist das allgemeine Interesse an der schnellen Meldung einer Schwachstelle an den Hersteller sowie die Entwicklung wirksamer Abhilfemaßnahmen deutlich geworden.
Sicherheitslücken können sich in allen IT-Systemen von Unternehmen befinden. So tragen Automobilhersteller beispielsweise die Verantwortung für die Steuersysteme ihrer verkauften Fahrzeuge. Auch Systeme von Zulieferern und externen IT-Dienstleistern können betroffen sein. Ebenso ist der Autohersteller auch für Sicherheitslücken in Komponenten verantwortlich, die er lediglich zukauft und in deren Entwicklung er nur begrenzten Einblick besitzt.
Für die Hersteller hat es mehrere Vorteile, geeignete Prozesse für den konstruktiven Umgang mit Schwachstellen zu etablieren: Gutes Schwachstellenmanagement sichert rechtskonformes Verhalten, unterstützt damit die Compliance, erhöht das Vertrauen und schützt das Firmenimage.
Das Fraunhofer SIT unterstützt Unternehmen dabei
- Prozesse für die interne Behandlung von Schwachstellen zu entwickeln (ISO/IEC 30111)
- Prozesse zur Meldung von Schwachstellen von externen Parteien (Coordinated Vulnerability Disclosure) zu entwickeln (ISO/IEC 29147)
- Ein Product Security Incident Response Team (PSIRT) zu bilden
- Prozesse für Product Security Incident Response Teams zu entwickeln
- Den Rechtsrahmen zu verstehen, um gesetzeskonform handeln zu können
- Eine Risikobewertung für einzelne potenzielle Schwachstellen und Verwundbarkeiten durchzuführen
Schwachstellen werden häufig durch Externe entdeckt
Klassische Konzepte gehen davon aus, dass Schwachstellen entweder durch eigene Mitarbeitende entdeckt werden können oder durch beauftragte unternehmensexterne Partner. Die Erfahrung zeigt jedoch, dass kritische Lücken oftmals durch Dritte gefunden werden, die in keiner Vertragsbeziehung zum verantwortlichen Unternehmen stehen und nicht in die eigenen Prozesse integriert sind.
Dabei kann es sich um Sicherheitsforschende, Ethical Hacker oder auch Zufallsfunde handeln. Unternehmen brauchen an dieser Stelle eine klare Vorgehensweise für den Umgang mit IT-Sicherheitsschwachstellen, die an sie gemeldet werden. So hat es sich bspw. als Standard etabliert, dass Forschende gefundene Sicherheitslücken nach 90 Tagen veröffentlichen. Binnen dieses Zeitfensters kann der Hersteller notwendige Maßnahmen ergreifen. Dies dient auch dem Schutz der eigenen Kund*innen und Reputation.
Für die Bearbeitung solcher Meldungen wird zwischen einem CERT-Team (Computer Emergency Response Team) für die eigenen Systeme und einem Product Security Incident Response Team (PSIRT) unterschieden.
Die Aufgaben von CERT und PSIRT:
- die Entgegennahme der Schwachstellenmeldung
- die Validierung und Priorisierung aller Meldungen
- die Koordination der Reaktion
- ggf. der Koordination mit der Entwicklungsabteilung zur Erstellung notwendiger Patches
- die Kommunikation mit dem Meldenden
- die Bereitstellung technischer und organisatorischer (Sofort-/Interims-/finalen) Maßnahmen an die betroffenen Stakeholder (Kund*innen, Partner, Zulieferer, usw.).
Ebenso müssen CERT und PSIRT eine Außenwirkung entfalten, die es meldenden Personen leicht macht, ihre Erkenntnisse mit den richtigen Stellen zu teilen. Nicht zuletzt trägt auch die Transparenz im eigenen Umgang mit Sicherheitsvorfällen zum Image des eigenen Unternehmens bei.
Auch von regulatorischer Seite gewinnt das Thema Coordinated Vulnerability Disclosure zunehmend an Bedeutung. Eines der Ziele der neuen NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsamen Cybersicherheitsniveau in der Union) ist es, den freiwilligen Rahmen zur koordinierten Offenlegung von Schwachstellen zwischen meldenden Personen und Herstellern attraktiver zu machen. Hierfür sind Einrichtungen, die IuK-Systeme entwickeln oder verwalten angehalten, geeignete Verfahren für den Umgang mit entdeckten Schwachstellen festzulegen sowie Verfahren einzuführen, mit denen Informationen über Schwachstellen von Dritten entgegengenommen werden können.